劉祖軍

摘 要 交換機(jī)是通過(guò)人工或者是自動(dòng)的方式，將需要傳輸?shù)男畔鬟f給符合要求路由上的技術(shù)。這一技術(shù)可以滿足通信兩端傳輸信息的需求，而且也是在MAC基礎(chǔ)上的地址識(shí)別，能夠?qū)崿F(xiàn)數(shù)據(jù)包封裝轉(zhuǎn)發(fā)的網(wǎng)絡(luò)設(shè)備。隨著近年來(lái)電網(wǎng)企業(yè)的不斷發(fā)展，在防護(hù)策略的指引下，信息安全水平有了明顯的提高。

關(guān)鍵詞 網(wǎng)絡(luò)交換機(jī)；安全措施；實(shí)現(xiàn)

中圖分類號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2017）193-0045-02

由于交換機(jī)處于網(wǎng)絡(luò)核心，在上線正常運(yùn)行的情況下會(huì)忽略管理以及更新，會(huì)存在一些安全漏洞，尤其會(huì)直接影響信息網(wǎng)絡(luò)的運(yùn)行。因此為了保證網(wǎng)絡(luò)信息的安全，需要從交換機(jī)入手，在保證其數(shù)據(jù)安全的前提下，注意防止病毒的侵?jǐn)_。隨著信息技術(shù)的不斷發(fā)展，保證網(wǎng)絡(luò)系統(tǒng)安全具有重要的意義。

1 交換機(jī)的安全威脅體現(xiàn)

在交換機(jī)的使用過(guò)程中，如果受到了不法分子的破壞和利用，就會(huì)導(dǎo)致網(wǎng)絡(luò)不可控的情況，一般交換機(jī)的安全風(fēng)險(xiǎn)主要體現(xiàn)在幾個(gè)方面。

1.1 ARP攻擊

這是一種針對(duì)以太網(wǎng)地址解析協(xié)議的攻擊技術(shù)，攻擊者可以在網(wǎng)絡(luò)上篡改數(shù)據(jù)封包裝，然后計(jì)算機(jī)就無(wú)法正常的連接和使用。攻擊的具體方式主要有兩種，一種是ARP洪泛攻擊，還有一種是ARP欺騙。假如在局域網(wǎng)內(nèi)出現(xiàn)了ARP攻擊的情況，會(huì)直接影響主機(jī)和服務(wù)端的映射關(guān)系，上網(wǎng)流量會(huì)集中流向ARP攻擊者控制的主機(jī)，通過(guò)網(wǎng)關(guān)上網(wǎng)的用戶，發(fā)生這種情況會(huì)被控主機(jī)轉(zhuǎn)發(fā)上網(wǎng)，導(dǎo)致轉(zhuǎn)發(fā)之后的上網(wǎng)速度很慢，甚至?xí)霈F(xiàn)斷網(wǎng)的情況。而且如果出現(xiàn)了ARP欺騙的問(wèn)題，不僅需要不斷的發(fā)送ARP應(yīng)打包，還會(huì)導(dǎo)致網(wǎng)絡(luò)節(jié)點(diǎn)無(wú)法聯(lián)通，或者是直接造成一些數(shù)據(jù)丟失[1]。

1.2 DoS攻擊

DoS攻擊主要指的是攻擊者會(huì)采用一些方法導(dǎo)致主機(jī)無(wú)法正常提供服務(wù)，而且會(huì)造成資源訪問(wèn)受到限制。尤其是對(duì)寬帶、內(nèi)存等產(chǎn)生重大影響，一些用戶由于受到了阻礙，就會(huì)無(wú)法正常工作。出現(xiàn)DoS攻擊的時(shí)候，一般都是分布式攻擊，而且在攻擊的過(guò)程中，會(huì)利用一些工具將網(wǎng)絡(luò)寬帶集結(jié)起來(lái)，同時(shí)對(duì)一個(gè)目標(biāo)發(fā)起攻擊，這種攻擊方式對(duì)網(wǎng)絡(luò)有極大的破壞作用，尤其是會(huì)導(dǎo)致用戶無(wú)法接收外界請(qǐng)求。

1.3 MAC地址泛洪攻擊

網(wǎng)絡(luò)傳輸數(shù)據(jù)會(huì)采用幀的形式進(jìn)行，因此當(dāng)幀進(jìn)入交換機(jī)的時(shí)候就會(huì)記錄下源MAC地址，在這一過(guò)程中就會(huì)產(chǎn)生一條端口和MAC地址關(guān)聯(lián)的記錄。在之后的操作中，凡是通往這一MAC地址的信息流都會(huì)只通過(guò)這一端口進(jìn)行有限的轉(zhuǎn)發(fā)。記錄會(huì)直接儲(chǔ)存在CAM中，因此可以快速的進(jìn)行查詢，尤其是方便轉(zhuǎn)發(fā)數(shù)據(jù)。不過(guò)CAM存儲(chǔ)容量比較小，加入一些攻擊者選擇向CAM傳送較多的偽造多源MAC地址的數(shù)據(jù)包，就會(huì)導(dǎo)致存儲(chǔ)器被填滿，交換機(jī)也只能選擇使用廣播的形式進(jìn)行傳送數(shù)據(jù)，因此寬帶被占用，會(huì)發(fā)生交換機(jī)拒絕服務(wù)的問(wèn)題。曾經(jīng)出現(xiàn)的SQL蠕蟲(chóng)病毒便是采用組播目標(biāo)地址，然后制造假目標(biāo)MAC占滿CAM表的形式，造成了嚴(yán)重的后果。

2 加強(qiáng)信息網(wǎng)絡(luò)交換機(jī)硬件安全

國(guó)家電網(wǎng)屬于關(guān)系國(guó)計(jì)民生的基礎(chǔ)行業(yè)，保障電力信息系統(tǒng)的安全尤為重要。目前，信息系統(tǒng)安全風(fēng)險(xiǎn)頻發(fā)，一些信息技術(shù)產(chǎn)品的漏洞經(jīng)常會(huì)引發(fā)核心系統(tǒng)被控和失密等風(fēng)險(xiǎn)。提高電網(wǎng)信息設(shè)備的安全水平，需要從以下幾個(gè)方面入手。

2.1 集采國(guó)產(chǎn)網(wǎng)絡(luò)交換機(jī)

美國(guó)斯諾登事件、監(jiān)聽(tīng)門(mén)事件等暴漏出美國(guó)等西方科技公司生產(chǎn)的核心交換機(jī)可能存在“后門(mén)”。為降低電網(wǎng)信息系統(tǒng)風(fēng)險(xiǎn)，近年來(lái)，國(guó)網(wǎng)系統(tǒng)已逐步推進(jìn)國(guó)產(chǎn)網(wǎng)絡(luò)交換機(jī)的集采。

2.2 增加冗余設(shè)備及備品

為了保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，也就是冗余能力能夠保證網(wǎng)絡(luò)的安全運(yùn)行。在生產(chǎn)的過(guò)程中，可以增加一些冗余設(shè)備，主要就是為了規(guī)避風(fēng)險(xiǎn)[2]。比如一些后備管理模塊、電源或者是端口等，這些設(shè)備可以在故障出現(xiàn)的時(shí)候確保設(shè)備能夠正常使用，能夠提高網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。

2.3 固件常升級(jí)

交換機(jī)的使用經(jīng)常會(huì)存在安全漏洞，因此需要定期的升級(jí)官方提供的補(bǔ)丁，尤其是固件升級(jí)的過(guò)程中，能夠?qū)⒙┒磫?wèn)題進(jìn)行有效的解決，還可以提高交換機(jī)的穩(wěn)定性。

3 信息網(wǎng)絡(luò)交換機(jī)安全加固措施

3.1 口令設(shè)置

1）Console口登錄安全。配置交換機(jī)以及路由的Console口登錄安全策略，如果在使用的過(guò)程中，配置Console口登錄超市就可以對(duì)口令采取加密儲(chǔ)存的操作。

2）Telnet或者是SSH登錄安全。在啟用Telnet遠(yuǎn)程管理的過(guò)程中，需要將交換機(jī)或者是路由器的vty口登錄安全策略，設(shè)置口令加密儲(chǔ)存。SSH采用的是加密的形式來(lái)傳輸數(shù)據(jù)，因此可以提高安全性。

3）Super權(quán)限口令加密。配置交換機(jī)或者是路由器的super權(quán)限口令的時(shí)候，需要注意分配super權(quán)限等級(jí)，然后做好加密儲(chǔ)存。

3.2 啟用日志審計(jì)

采用日志審計(jì)的功能，可以結(jié)合日志審計(jì)器的使用，尤其是可以對(duì)日志進(jìn)行定期的保存和備案。使用日志審計(jì)服務(wù)器可以將日常發(fā)生的事情進(jìn)行記錄，假如出現(xiàn)了網(wǎng)絡(luò)故障，就可以對(duì)其進(jìn)行監(jiān)控設(shè)備故障信息，如果下次還出現(xiàn)類似的故障或者是受到了攻擊，就可以看到痕跡。

3.3 SNMP協(xié)議酌情開(kāi)發(fā)

根據(jù)安全的要求進(jìn)行分析，SNMP協(xié)議還是存在比較大的安全隱患，但是網(wǎng)絡(luò)監(jiān)控系統(tǒng)卻不應(yīng)該離開(kāi)這一協(xié)議。因此可以使用SNMPV3版本，這一版本的優(yōu)勢(shì)在于改進(jìn)了傳輸方式，傳統(tǒng)的傳輸方式是明文傳輸，還有一些使用簡(jiǎn)單文本字符驗(yàn)證身份信息等，目前使用的MD5加密認(rèn)證方式具有很大的優(yōu)勢(shì)。此外，還可以配合交換機(jī)SNMP信息采集配置嚴(yán)格的訪問(wèn)控制列表，主要是防止一些用戶進(jìn)行非授權(quán)訪問(wèn)的操作，能夠?qū)⑼ㄐ帕髁康陌踩灾饾u提高[3]。

3.4 設(shè)置網(wǎng)絡(luò)準(zhǔn)入控制

在網(wǎng)絡(luò)應(yīng)用不斷發(fā)展的今天，網(wǎng)絡(luò)準(zhǔn)入控制的重要性逐漸凸顯出來(lái)。尤其是可以防止ARP攻擊、惡意用戶入侵、地址沖突等問(wèn)題。目前使用比較廣泛的是802.1x網(wǎng)絡(luò)準(zhǔn)入控制，還有在IP_MAC綁定的網(wǎng)絡(luò)準(zhǔn)入技術(shù)。

3.4.1 802.1x網(wǎng)絡(luò)準(zhǔn)入控制

802.1x協(xié)議認(rèn)證系統(tǒng)主要包含認(rèn)證服務(wù)器、認(rèn)證系統(tǒng)和客戶端3個(gè)部分。使用這一系統(tǒng)可以對(duì)接入終端進(jìn)行身份的認(rèn)證，可以控制非法終端的接入，保證網(wǎng)絡(luò)系統(tǒng)的安全。其優(yōu)勢(shì)主要是安全、方便、高效等，受到了很大的歡迎。

3.4.2 IP_MAC綁定的網(wǎng)絡(luò)準(zhǔn)入

使用IP_MAC綁定的網(wǎng)絡(luò)準(zhǔn)入技術(shù)，主要是在計(jì)算機(jī)的終端接入網(wǎng)絡(luò)的設(shè)備上設(shè)置訪問(wèn)控制列表，登記用戶的物理地址，不過(guò)這個(gè)操作有一定的限制。這一技術(shù)的缺點(diǎn)是由于需要逐條命令配置，易出現(xiàn)錯(cuò)誤，因此可以搭配第三方廠商提供IP_MAC綁定系統(tǒng)的圖形化界面操作，這樣可以保證更加直觀的查看和便捷的操作，尤其是在遇到問(wèn)題時(shí)能夠盡快的解決。

4 結(jié)論

交換機(jī)的安全需要引起重視，尤其是要從多個(gè)方面進(jìn)行考慮，注意細(xì)節(jié)的分析，對(duì)交換機(jī)進(jìn)行整體的安全加固，配合一些安全設(shè)備的使用，不斷提供更加安全的信息網(wǎng)絡(luò)。

參考文獻(xiàn)

[1]郭琳.企業(yè)網(wǎng)中交換機(jī)與路由器安全防范與實(shí)現(xiàn)[J].廣東技術(shù)師范學(xué)院學(xué)報(bào)，2016，37（11）：57-61.

[2]劉輝舟.電力交換機(jī)狀態(tài)巡檢監(jiān)測(cè)體系建設(shè)實(shí)踐研究[J].低碳世界，2015（33）：36-37.

[3]康雙勇.網(wǎng)絡(luò)交換機(jī)的威脅攻擊及安全防范[J].保密科學(xué)技術(shù)，2017（1）.